基于可视化的安全态势感知

基于可视化的安全态势感知

-世博会业务系统的信息保障

郁郎

关键词：网络安全；信息保障；安全态势；安全可视化；业务影响度

1.引言

被誉为“经济、科技、文化”奥林匹克的世界博览会，将于2010年在中国上海举办，作为信息时代下的一届世博会，上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时，上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见，信息系统是上海世博会筹办工作的中枢神经，信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模，世博信息安全是一项复杂工程，涉及面相当广泛，从基建设施，例如网络设备、主机、安全设备；到数据库、操作系统、中间件；再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。

在经典的IATF纵深防御理论中，针对类似于世博会这样大规模信息系统的运营，提出了“信息保障”[1]的概念，并在其技术框架中给出了人（People）、技术（Technology）、操作（Operation）三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环，如何有效对安全系统进行操控，如何依据系统提供的信息做出正确的决策？都是我们在保障信息安全时所面临的严峻挑战。

为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集，其目标在于解决目前安全系统的普遍存在的一个通病－对安全状态“看不见、看不懂、看不透！”，有效提升人对目前安全态势（security situation）的感知能力，对潜在的安全威胁做出预警，从而让人做出正确的决策。

本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点，分析基于“ 业务影响程度”（mission impact）的安全态势评估方法，阐述如何以保障和促进世博各项业务系统的运转为目标，使用可视化技术完成基于“业务影响程度”的安全态势感知。

2.什么是安全态势感知（Security Awareness）？

“一幅好图胜过千言万语！”这句话体现了安全态势感知的关键－可视化，一定是通过图形的方法把安全数据展示给人，人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力，计算机处理十万条安全事件的速度远比人快上千倍万倍，但从一幅图中发现其变化的趋势以及深层次的原因，人们的直觉却强大的多，这种客观的直觉我们称之为“态势感知”，通过计算机数据能力，再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程，原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程，安全态势感知是一个从底层数据到抽象信息，到获取高层知识的过程。

图1：安全态势感知的数据流图

如图2所示，数据源所提供的数据经过预处理、信息融合后，进入分析评估阶段，其中预处理阶段主要目标是数据的采集，信息融合阶段的主要目标是去伪存真，分析评估阶段的主要目标是态势感知。分析评估阶段成功的关键是“人的有效参与”，安全可视化是达到这一目标的主要途径，这也是本文所讨论的重点所在－基于可视化的安全态势感知，包括数据变换、图形布局、交互和动画四个方面的内容[2]。

图2：基于可视化技术的安全态势感知四步曲

3.什么是基于业务影响（mission impact）的安全态势评估

当安全事件发生时，对它们的应急处理，最重要的首先应该是迅速评估这些安全威胁给我们的业务所带来的影响。常用的评估方法有两种：由下而上的资产导向式或者自上而下的业务导向式。

资产导向式以构成内部信息系统的资产为切入点，分析如果因为安全问题这些资产的不

可用或者不可靠将对业务的所照成的负面影响。这里的信息资产可以是具体的硬件设备（如：

网络设备、服务器等），也可以是提供某类效能的软件（如：数据库、软件平台、电子邮件等），总之它们为业务系统提供必要的基础支撑。分析的过程中需要建立安全攻击事件或者违规行为与资产所提供的效能失效之间的因果关系，如拒绝服务攻击导致数据库不可用、蠕虫病毒导致网络连接异常。不仅要考虑直接的影响而且要考虑资产之间的依赖关系所带来的间接影响，例如：认证服务程序无法启动影响内部的邮件无法转发、网络带宽的下降导致视频会议系统的通话质量。

业务导向式分析的目标是发现某项业务正常运行所必须保障的资产。这种自上而下的分析方法从业务目标入手，通常一项业务的正常运作需要各项子业务系统的保障，这就涉及到业务的分解，例如世博的RFID票务系统由制售票、验票监控、展位观众记录、统计分析、系统维护、网上注册等多个子系统构成，要保障票务的正常，需要保障每个子业务系统正常，因此只有理清业务结构，业务分解的足够细致，最终建立的评估模型才能精确，即，建立信息基础设施与各项业务的准确逻辑关系，这些设施就是我们需要保护和保障的目标。

不论资产导向式还是业务导向式最终都有着殊途同归的效果－建立业务（mission）、子任务（sub‐task）、资产（asset）之间的关系模型，通常用业务树（mission tree）模型表达这一关系。业务树[3]是为评估系统总体安全态势而建立，由一个组织所要完成的业务目标（mission）及完成这些目标所依赖的信息资产所组成的树状的层次化结构。树的根结点为总业务目标的概括，与子任务目标（task）形成层次结构，树的叶结点为完成目标所对应的资产，叶结点允许重复出现（由于同一个资产可能被赋予不同的任务目标）。任务树模型表示为M = O∪ A ，其中O = {o1, o2 ,…om} 为完成任务的目标集合，A = {a1, a2 ,…an} 为完成目标的资产集合，如图3所示。

图3：业务树模型

4.基于3D技术的业务影响可视化分析

作为一种计算机辅助评估技术，安全可视化在解决“如何基于业务的安全态势评估”的道路上另辟蹊径，巧妙为把底层的数据转变为人可以感知的信息，下面本文将以此作为安全可视化态势感知的一个典型应用场景，详细分析其内部的工作机制和最终所能够带来的效果。

3D可视化最大的技术优势在于多维度特性与透视特性：“多维度”指不同的数据平面可以在同一个空间中同时展示出来，观察者可以发现不同数据之间的关联；“透视”特性则可以减少图形的视觉冲突，因为观察者可以从上、下、前、后、左、右任意角度观察图形。 为了展现安全事件对业务的影响，按照前面阐述的安全态势可视化过程，第一步需要定义可视化目标：

1.能够展现各种资产属性，包括：网络设备、服务器、终端主机、数据库、关键文件、

通讯协议、电子邮件等的各项属性，如分类、重要程度、地理位置或者网络拓扑；

2.能够展现各种资产的关系以及依赖，资产对某项业务的必要关系，业务与子业务的

关系以及业务之间的时间联系；

3.能够展现安全告警，告警的分类、告警的级别、告警的多少、告警的所针对资产进